中小型園區(qū)網(wǎng)絡(luò) 物理網(wǎng)絡(luò)設(shè)計(jì)
中小型園區(qū)網(wǎng)絡(luò) 物理網(wǎng)絡(luò)設(shè)計(jì)
- 2026-01-04
- 史玉成
- 福加億(上海)網(wǎng)絡(luò)技術(shù)有限公司
出口部署要點(diǎn)
園區(qū)出口部署旨在實(shí)現(xiàn)園區(qū)終端用戶(hù)能夠訪(fǎng)問(wèn)廣域網(wǎng)或Internet,以及實(shí)現(xiàn)園區(qū)分支與總部的互聯(lián)。園區(qū)出口一般需要部署路 由器和防火墻,路由器解決內(nèi)外網(wǎng)互通問(wèn)題,防火墻提供邊界安全防護(hù)能力。
根據(jù)園區(qū)網(wǎng)絡(luò)的業(yè)務(wù)、規(guī)模的不同,園區(qū)出口部署 方式不同:
- 對(duì)于鏈路類(lèi)型、出口路由較簡(jiǎn)單的場(chǎng)景,可以?xún)H部署防火墻作為出口設(shè)備。
- 對(duì)于大型園區(qū)出口,通常采用防火墻直連路由器的組網(wǎng)方式。
- 對(duì)于總部與分支相連的場(chǎng)景,推薦部署IPSec進(jìn)行互聯(lián)。
- 出口設(shè)備與Internet連接時(shí),可以使用靜態(tài)路由、OSPF路由或BGP路由。園區(qū)內(nèi)網(wǎng)路由主要滿(mǎn)足園區(qū)內(nèi)部設(shè)備、終端的互通需求并且與外部路由交互。一般可以選 擇靜態(tài)路由或OSPF。
- 靜態(tài)路由:適用于路由條目較少的場(chǎng)景。大多數(shù)園區(qū)一般使用靜態(tài)路由即可滿(mǎn)足要求
- OSPF路由:適用于路由條目較多的場(chǎng)景。
- BGP路由:適用于路由條目較多的場(chǎng)景。當(dāng)企業(yè)與ISP之間有多條鏈路,且多條鏈路可以提供差異化的路由服務(wù)時(shí),推薦部署B(yǎng)GP。
1、網(wǎng)絡(luò)出口的設(shè)計(jì)
網(wǎng)絡(luò)出口的設(shè)計(jì)需要考慮如下方面:
● 出口網(wǎng)關(guān)設(shè)備的選擇:
– 中型的商超、普教場(chǎng)景以及高安全應(yīng)用場(chǎng)景,采用防火墻設(shè)備。
– 家庭酒店、小型零售、分支等,可采用AR設(shè)備。
– 微型門(mén)店僅部署單臺(tái)AP時(shí),采用AP設(shè)備。
● 出口組網(wǎng)設(shè)計(jì):
– 對(duì)于中型的商超、普教場(chǎng)景,網(wǎng)絡(luò)規(guī)模較大 ,推薦出口采用防火墻雙機(jī)組網(wǎng)。出口的鏈路推薦多運(yùn)營(yíng)商鏈路備份。
– 對(duì)于酒店、門(mén)店、中小型商超等場(chǎng)景,網(wǎng)絡(luò)規(guī)模相對(duì)較小 ,推薦出口采用單設(shè)備組網(wǎng),出口采用單運(yùn)營(yíng)商鏈路即可。
● 出口設(shè)備部署主要功能:需要配置基本的VPN功能、WAN口/撥號(hào)接入功能,對(duì)于安全有需求的場(chǎng)景,可以部署安全防火墻功能。
出口網(wǎng)關(guān)選型的設(shè)計(jì)約束:
● AP做出口時(shí),僅支持配置一個(gè)默認(rèn)的WAN側(cè)地址。
● FW作為認(rèn)證點(diǎn)時(shí),僅可以支持云平臺(tái)的有線(xiàn)portal認(rèn)證。
● 出口網(wǎng)關(guān)備份場(chǎng)景,AR不支持配置備份,建議選擇FW做出口網(wǎng)關(guān)。
● 非SD-WAN場(chǎng)景下,AR做網(wǎng)關(guān),不支持Eth-trunk,和AR直連的交換機(jī)不支持堆疊;如果和AR直連的LSW要做堆疊,則需要LSW作為網(wǎng)關(guān),通過(guò)3層和AR互聯(lián)。
● FW設(shè)備不支持Eth-Trunk,故與FW互連的交換機(jī)不支持堆疊。
中大型網(wǎng)絡(luò)出口網(wǎng)絡(luò)架構(gòu)
園區(qū)出口 區(qū)一般需要部署出口路由器和防火墻。路由器解決內(nèi)外網(wǎng)互通的問(wèn)題,防火墻提供邊界安全防護(hù)能力。為了保證可靠性,路由器和防火墻通常采用設(shè)備冗余部署。大中型園區(qū)推薦出口部署設(shè)備冗余備份。
根據(jù)是否需要部署路由器,通常會(huì)有如圖2所示的兩種組網(wǎng)模型。組網(wǎng)1是路由器做出口,組網(wǎng)2是防火墻做出口。
大中型園區(qū)組網(wǎng),出口的路由一般比較少,通常 少于幾百條,因此不需要路由器的路由表規(guī)模,從網(wǎng)絡(luò)建設(shè)成本考慮,推薦組網(wǎng)2,采用防火墻做出口的組網(wǎng)。
如果符合以下幾個(gè)因素之一,可以選擇組網(wǎng)1模型:
- 出口的鏈路類(lèi)型
如果出口區(qū)運(yùn)營(yíng)商提供的鏈路類(lèi)型為EI、CE1、CPOS等非以太網(wǎng)的鏈路,考慮到路由器支持的接口類(lèi)型比防火墻更為豐富,建議選擇組網(wǎng)1,采用路由器做出口。
- 接口數(shù)量和密度
如果出口設(shè)備不僅要和Internet互連,還要和合作單位或分支機(jī)構(gòu)通過(guò)專(zhuān)線(xiàn)互連,考慮到路由器支持的接口數(shù)量和密度更高,建議選擇組網(wǎng)1,采用路由器做出口。
- 協(xié)議類(lèi)型
如果出口設(shè)備與外部網(wǎng)絡(luò)運(yùn)行 動(dòng)態(tài)路由器協(xié)議(如BGP協(xié)議),考慮到路由器的路由表規(guī)模和性能更強(qiáng)大,同時(shí)考慮到在出口設(shè)備上需要部署許多路由策略,建議選擇 組網(wǎng)1,采用路由器做出口。
- QoS需求
如果需要在出口設(shè)備上部署QoS策略,考慮到路由器的QoS功能 更強(qiáng)大,建議選擇組網(wǎng)1,采用路由器做出口。
- 網(wǎng)絡(luò)流量
為減少對(duì)現(xiàn)網(wǎng)流量的影響,或只需部分業(yè)務(wù)進(jìn)行安全處理,可以考慮采用FW旁?huà)旆绞剑x擇組網(wǎng)3。
2、網(wǎng)絡(luò)匯聚層設(shè)計(jì)
網(wǎng)絡(luò)匯聚層的設(shè)計(jì)需要考慮如下方面:
組網(wǎng)設(shè)計(jì):
● 對(duì)于中型的商超、普教場(chǎng)景,網(wǎng)絡(luò)規(guī)模較大,推薦匯聚層采用堆疊組網(wǎng)。如果匯聚層有兩層,匯聚 層之間通過(guò)Eth-Trunk鏈路互聯(lián)。推薦部署大二層方式,出口設(shè)備作為網(wǎng)關(guān)。
● 對(duì)于酒店、門(mén)店、中小型商超等場(chǎng)景,網(wǎng)絡(luò)規(guī)模相對(duì)較小,推薦匯聚層單設(shè)備組網(wǎng),也可以根據(jù)網(wǎng)絡(luò)的規(guī)模和可靠性需求,選擇堆疊組網(wǎng)。推薦部署大二層方式,出口設(shè)備作為網(wǎng)關(guān)。
● 對(duì)于小型商超、門(mén)店場(chǎng)景,網(wǎng)絡(luò)規(guī)模更小,可以沒(méi)有匯聚層設(shè)備。
3、網(wǎng)絡(luò)接入層設(shè)計(jì)
網(wǎng)絡(luò)接入層的設(shè)計(jì)需要考慮如下方面:
● 接入設(shè)備的選擇:
– 接入層需要考慮支持PoE的接入交換機(jī),根據(jù)接入AP的數(shù)量,選擇合適端口的設(shè)備。
– 選擇交換機(jī)時(shí),要計(jì)算接入AP的數(shù)量*AP的功率 ≤ PoE交換機(jī)可以提供的功率,所以要根據(jù)AP的具體款型和數(shù)量,選擇合適電源的PoE交換機(jī)。
– 對(duì)于酒店、宿舍等多房間建筑模式的場(chǎng)景時(shí),采用中心AP,提供RU PoE接入
和管理,RU提供WLAN無(wú)線(xiàn)能力。
● 組網(wǎng)設(shè)計(jì):
– 對(duì)于中型的商超、普教場(chǎng)景,網(wǎng)絡(luò)規(guī)模較大,推薦接入層采用堆疊組網(wǎng)。當(dāng)接入單機(jī)即可滿(mǎn)足下聯(lián)終端的接入密度時(shí),可接入層采用單機(jī)組網(wǎng)。當(dāng)前接入層上聯(lián)設(shè)備采用堆疊組網(wǎng)時(shí),推薦Eth-Trunk鏈路與上聯(lián)設(shè)備互聯(lián)。需要多AP覆蓋,通過(guò)PoE LSW擴(kuò)展AP接入。
– 對(duì)于酒店、中小型商超、中型門(mén)店等場(chǎng)景,網(wǎng)絡(luò)規(guī)模相對(duì)較小,推薦接入層單設(shè)備組網(wǎng),單鏈路與上聯(lián)設(shè)備互聯(lián)。需要多AP覆蓋,通過(guò)PoE LSW擴(kuò)展AP接入。
– 中小型門(mén)店場(chǎng)景,需要AP覆蓋,可以沒(méi)有接入交換機(jī),AP直接與出口網(wǎng)關(guān)互聯(lián)。
4、可靠性設(shè)計(jì)
● 云管理平臺(tái)可靠性:云平臺(tái)部 署分為華為公有云、MSP自建云、本地部署三種場(chǎng)景,針對(duì)這三種場(chǎng)景可靠性需要分別考慮:
– 華為公有云場(chǎng)景:云平臺(tái)由華為運(yùn)營(yíng)管理,可靠性由華為保障,客戶(hù)無(wú)需設(shè)計(jì)分析。
– MSP自建云場(chǎng)景:云平臺(tái)由MSP運(yùn)營(yíng)管理,MSP通過(guò)租賃方式向中小企業(yè)提供SaaS服務(wù),建議MSP選擇可擴(kuò)容的服務(wù)器集群部署方式來(lái)保證可靠性和未來(lái)業(yè)務(wù)演進(jìn)。
– 本地部署場(chǎng)景:建議企業(yè)客戶(hù)選擇服務(wù)器集群部署方式來(lái)保證可靠性。
● 認(rèn)證可靠性:對(duì)于設(shè)備與認(rèn)證服務(wù)器對(duì)接的場(chǎng)景,推薦考慮認(rèn)證服務(wù)器故障后的逃生策略,目前支持故障后 不認(rèn)證或者不影響用戶(hù)接入兩種策略。
● 網(wǎng)絡(luò)的可靠性主要涉及鏈路的可靠性、設(shè)備的可靠性。
– 出口鏈路可靠性:一般場(chǎng)景多為單鏈路出口,則不用考慮多鏈路的備份,對(duì)于高可靠場(chǎng)景,則需要部署多鏈路出口,對(duì)鏈路進(jìn)行主備配置。
– 園區(qū)內(nèi)部鏈路可 靠性:一般可以使用Eth-Trunk技術(shù)來(lái)保證鏈路的可靠性,建議交換機(jī)堆疊組網(wǎng)采用跨設(shè)備Eth-Trunk來(lái)保證鏈路可靠性。
– 設(shè)備的 可靠性:出口網(wǎng)關(guān)設(shè)備可以部署兩臺(tái)設(shè)備做雙機(jī)備份,核心/匯聚層的LSW設(shè)備,可以通過(guò)堆疊實(shí)現(xiàn)物理設(shè)備的備份。
-
天津市津南區(qū)咸水沽鎮(zhèn)海棠眾創(chuàng)大街C區(qū)智創(chuàng)工坊-S-1119
-